Cybercrime 2019

Cybercrime
Report 2019
Lagebericht über die Entwicklung von
Cybercrime
Cybercrime Report 2019
Lagebericht über die Entwicklung von Cybercrime
Wien 2020
1
Inhalt
Vorwort 5
1 Einleitung 6
Über die Broschüre 7
Entwicklungen und Trends 8
2 Rechtliche Herausforderungen 9
Anpassung des Cyberstrafrechts 10
Datenschutz-Grundverordnung und „WHOIS“ Abfragen 10
Carrier Grade NAT Problematik 10
Pseudoanonyme Transaktionen von virtuellen Währungen 11
3 Jahresrückblick 13
Zahlen und Fakten im Überblick 14
Cybercrime im engeren Sinn 15
Cybercrime im weiteren Sinn 16
Dunkelziffer und Anzeigeverhalten 17
4 Phänomeneund Ermittlungen 18
„Crime as a Service“ 19
www.bundeskriminalamt.at/cybercrime
Ransomware 19
Bitcoin-Mixer und deren erfolgreiche Bekämpfung 20
Erpressungs-E-Mails 21
Internetbetrug 21
Voice over IP-Spoofing 22
Suchtmittelhandel im Darknet 23
Impressum Pornographische Darstellungen Minderjähriger 24
Medieninhaber, Verleger und Herausgeber: 5 Bekämpfung 26

Bundesministerium für Inneres, Bundeskriminalamt
Josef-Holaubek-Platz 1, 1090 Wien Kriminalpolizeiliche Struktur zur Bekämpfung von Cybercrime 27
+43 1 24836 985025 (Single Point of Contact)
bundeskriminalamt.at Meldestelle 28
Druck: Digitaldruckerei des BMI, Herrengasse 7, 1010 Wien
Wien 2020 Zentrale Aufgaben 30
2 3
Forensik 30
Vorwort
IT-Ermittlungen 32
Liebe Leserinnen, liebe Leser!
Entwicklung und Innovation 33
Bundesweite polizeiliche Zusammenarbeit 34 Cybercrime ist ein immer stärker zunehmendes Deliktsfeld. Die
Opfer ziehen sich durch alle Altersgruppen und Gesellschafts-
Neue Erfolgsmodelle in der Ablauforganisation 35
schichten. Waren vor einem Jahrzehnt noch wenige Delikte
6 Zusammenarbeit mit der Polizei 36 diesem Bereich zuzuordnen, steigen seit 2014 die Fallzahlen
kontinuierlich und erreichten 2019 ein Rekordhoch. Durch die
Anzeigenerstattung 37
Digitalisierung und dem Zugang zu Diensten wie „Crime as
7 Events und internationale Gremien 39 a Service“ oder technischen Neuerungen haben es die Täter
einfacher ihre Reichweite zu steigern, wodurch auch erhöhte
Fachtagung IT-Beweismittelsicherung (ITB) 40
Schadenssummen resultieren. Bundesminister für Inneres
Symposium „Neue Technologien (NT)“ 40 Karl Nehammer, MSc und
geschäftsführender Direktor
Um dieses Kriminalitätsfeld nachhaltig bekämpfen zu können, sind folgende Bereiche des Bundeskriminalamtes
8 Kriminalprävention 41
für die Sicherheitspolitik im Bereich Cybercrime von großer Wichtigkeit: verbesserte Gerhard Lang, BA MA
Verhinderung von Straftaten 42 politische und rechtliche Rahmenbedingungen zur Eindämmung von Cybercrime, eine
erhöhte Bewusstseinsbildung für mehr Sicherheit und Eigenverantwortung im Internet,
9 Herausforderungen und Projekte 43
eine Stärkung der Widerstandsfähigkeit gegen kriminelle Cyber-Angriffe in der Wirtschaft
10 English Summary 45 sowie eine schnelle und wirksame Reaktion auf Cyber-Vorfälle.
11 Glossar 47
Die politischen und rechtlichen Rahmenbedingungen für Cybercrime sind in der EU und
international sehr unterschiedlich. Das Bemühen für die im Bericht genannten, konkre-
ten Problembereiche und auch umfassenden, strategischen Vorgehensweisen müssen
weiterhin forciert werden.
Kriminalpolizeilich werden auch weiter jene operativen Maßnahmen überlegt und

angeglichen, die im Rahmen der vorgegebenen strategischen Leitlinien von EU-Cyber-
Sicherheitsstrategien, nationalen Strategien im Bundeskanzleramt und innerhalb des
Bundesministeriums für Inneres entwickelt werden.
Ihr
Karl Nehammer MSc

Bundesminister für Inneres
Gerhard Lang, BA MA
Geschäftsführender Direktor des Bundeskriminalamtes
4 Cybercrime Report 2019 Cybercrime Report 2019 5

1 Über die Broschüre
Der vorliegende Bericht soll den alljährlichen Überblick in die komplexen Themenbereiche
Einleitung
von Cybercrime bieten und aufzeigen, wo die größten Herausforderungen für eine wirk-
same Umsetzung der politischen Rahmenbedingungen und deren effektive Vollziehung
durch die Exekutive liegen. Betrachtet werden hier nur die in Österreich geltenden
Definitionen und Abgrenzungen von Cyber-Kriminalität. Die Aufgaben der Cyber-Sicher-
heit, Cybercrime-Abwehr und Desinformation unterliegen den Verantwortungen anderer
Organisationen.
Die Ergebnisse aus den Analysen basieren auf Informationen, die in der fachlichen
Zentralstelle des Bundeskriminalamtes (BK), im Cybercrime Competence Center (C4) zu-
sammenlaufen sowie aus gesammelten Meldungen, Anzeigen, Statistiken, internationalen
Kooperationen, Informationsaustausch mit Mitgliedsstaaten, Ausbildungen, Positions-
papieren und Studien von Dritten stammen. Die Bestandsaufnahme der quantitativen
Daten und qualitativen Inhaltsanalysen fand von Jänner bis April 2020 statt, wobei
Entwicklungen bis zum Dezember 2019 berücksichtigt wurden.
Der Bericht teilt sich in mehrere Kapitel: Im ersten Kapitel zu den rechtlichen Rahmen-
bedingungen werden die größten Herausforderungen für das kriminalpolizeiliche
Handeln dargestellt. Der Jahresrückblick mit den kriminalstatistischen Analysen ist ein
wesentlicher Faktor für die strategische Ausrichtung zur Kriminalitätsbekämpfung und
wird als Grundlage für die Optimierung der präventiven und repressiven Maßnahmen
herangezogen. Trotz des enormen Anstiegs der Cybercrime-Delikte von 44,9 Prozent
im Vergleich zum Vorjahr konnte die Aufklärungsquote mit 35,8 Prozent annähernd
konstant gehalten werden. Im Folgekapitel werden die wichtigsten Phänomene im Detail
beschrieben und fallweise mit vorbeugenden Handlungsempfehlungen ergänzt. Die Auf-
bauorganisation und ihre Abläufe werden im nächsten Kapitel angeführt. Sie sind auch
aufgrund der technischen Komplexität mit ständigem Wissensaufbau und einhergehender
Spezialisierung sehr flexibel gestaltet. In diesem Kapitel folgt auch eine Beschreibung
der zentralen Strategien zur Kriminalitätsbekämpfung im Bereich Cybercrime mit einer
quantitativen Übersicht zu den stark ansteigenden Tätigkeiten der digitalen Forensik
und der Meldestelle im C4. Im Anschluss wird auf die Wissensvermittlung und den
internationalen Austausch eingegangen. Die Kriminalprävention bildet gemeinsam mit
der Zusammenfassung und dem strategischen Ausblick den Abschluss des Berichts.
Die Nutzung der im Bericht angegebenen Daten (vollständig oder auszugsweise) ist nur
mit der Quellenangabe „Polizeiliche Kriminalstatistik (PKS)“ gestattet.

Entwicklungen und Trends
Die markanten Entwicklungen im Bereich Cybercrime sind einerseits auf den massiven 2
Rechtliche
Anstieg von Massenerpressungs-E-Mails zu Jahresbeginn und andererseits dem ganz-
jährig stark auftretenden Internetbetrug zurückzuführen. Den Erpressungen wurde durch
die Einrichtung einer eigenen Arbeitsgemeinschaft „ARGE Erpressungsmails“ begegnet
und der Internetbetrug wurde kooperierend im Rahmen der Linienorganisation be-
Heraus-
arbeitet. Darüber hinaus zeigte sich ein Trend bei Tätern zur Nutzung von Ransomware
und anderen „Crime as a Service“-Leistungen aus dem Darknet.
Nach wie vor fehlen nötige rechtliche Rahmenbedingungen im Hinblick auf die Proble-
forderungen
matiken bei Carrier Grade NAT, Domainnamen und Kryptowährungen, die derzeit die
kriminalpolizeiliche Arbeit massiv erschweren und sogar verhindern. Eine Aktualisierung
der Strategie und Konzepte zur Bekämpfung von Cybercrime ist geplant und betrifft die
Bereiche IT-Ermittlungen sowie die digitale Beweismittelsicherung. Verbesserungen der
Prozesse und Abläufe inklusive der einzusetzenden Technologien finden laufend statt, um
den stetig fortschreitenden technischen Herausforderungen gerecht werden zu können.

Anpassung des Cyberstrafrechts Hasspostings sowie Fakenews nicht ausgeforscht werden. Dies führt im Rahmen der
Ermittlungen zu erheblichen Problemen bei der Zuordnung und Identifizierung krimineller
Bei kriminalpolizeilichen Ermittlungen in Zusammenhang mit Cybercrime-Delikten kommt Userinnen und User, wenn vom Netzanbieter die üblichen Protokollierungen von Userinnen
es immer wieder zu Ermittlungshindernissen beziehungsweise Erschwernissen, die zum und Usern beispielsweise auf Grund der fehlenden rechtlichen Rahmenbedingungen
Teil auf die derzeitigen eng gefassten materiellen strafrechtlichen Bestimmungen zurück- nicht gespeichert werden dürfen und daher nicht übermittelt werden können. Überdies
zuführen sind. So ist zum Beispiel ein Datendiebstahl, der nicht durch „Überwindung gibt es international und auch auf europäischer Ebene selbst zwischen den einzelnen
einer spezifischen Sicherheitsvorkehrung im Computersystem“ erfolgt, gerichtlich nicht Mitgliedstaaten sehr große Unterschiede in deren rechtlichen Rahmenbedingungen zu
strafbar. Das BK spricht sich daher für eine Angleichung des „digitalen“ Cyber-Strafrechts dieser Thematik.
an das „analoge“ Strafrecht wie, zum Beispiel in Zusammenhang mit Strafbestimmungen
beim Diebstahl, aus. Bei der Beurteilung von begangenen Cyber-Delikten sollte eine
entsprechende differenzierte Betrachtung und damit auch differenzierte Strafandrohungs-
bestimmungen erfolgen, je nach Datenumfang, Datenqualität oder Datensensibilität. Das Beispiel eines aktuellen Ermittlungsfalles zeigt die negativen Folgen
unzureichender Rechtsrahmen:
In Serbien wurde eine ermordete Frau aufgefunden, die nach Ermittlungen
Datenschutz-Grundverordnung und „WHOIS“ Abfragen identifiziert werden konnte. Das Opfer war bereits sieben Tage tot, aber die
Nachforschungen ergaben, dass zur Verschleierung auch nach ihrer Ermordung
Domainnamen, wie „www.bundeskriminalamt.at“, machen Informationen im Internet von ihrem Account auf sozialen Medien gepostet wurde. Diese Nachrichten
leichter auffindbar. Die dafür benötigten Domänen können bei Registries und Registraren werden dem mutmaßlichen Mörder zugeordnet, der mehrere österreichische
angemietet werden. „WHOIS“ Abfragen im Internet führten in der Vergangenheit häufig IP-Adressen für diese Postings verwendet hatte. Der österreichische Kabelan-
noch direkt zum Inhaber einer Domäne und zu einer technischen Kontaktperson. Diese bieter konnte aufgrund der Verwendung von Carrier Grade NAT mit dem öster-
Domainnamen zählen zu den Grundbausteinen des Internets. Personenbezogene Aus- reichischen Rechtsrahmen keine Auskunft erteilen. Zum besseren Verständnis
künfte sind für weiterführende Ermittlungen von hoher Bedeutung und waren bis zum zur diesbezüglichen Thematik wird angeführt, dass die Speicherung über den
Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 auch öffentlich Inhaber einer dynamischen IP-Adresse in Österreich nicht erlaubt ist, wenn die
zugänglich. Durch die Vielzahl von Registries und Registraren, die für die Verwaltung von Zuordnung eine größere Zahl von Teilnehmern erfasst – was im Fall von Carrier
Domainnamen zuständig sind, ergeben sich weitere Herausforderungen bei den Nach- Grade Nat immer zutrifft. Der Mord konnte bis dato nicht geklärt werden.
forschungen. Waren vormals nur einfache Abfragen in öffentlichen Datenbanken erforder-
lich, müssen bei Auskunftsersuchen an internationalen Standorten verwaltungstechnisch Eine diesbezügliche Harmonisierung auf europäischer Ebene wäre insofern
höchst aufwändige Prozesse durchlaufen werden. Diese erheblichen Ermittlungshürden erstrebenswert.
werden als Folge der DSGVO auch in technischen und rechtlichen Gremien mit der
Dachorganisation der Domänenverwaltung ICANN behandelt. Bis dato konnten keine
von diesen Organisationen in Aussicht gestellte Konzepte final umgesetzt werden
Pseudoanonyme Transaktionen von virtuellen
Währungen
Weitere Informationen:
https://www.icann.org/public-comments/epdp-phase-2-addendum-2020-03-26-en Kryptowährungen wie Bitcoins sind unter anderem auch ein beliebtes Mittel für
Finanztransaktionen, bei der Geldwäsche und für Käufe illegaler Waren im Internet.
Jeder kann selbst anonym eigene Wallets erstellen, die wie eine digitale Geldbörse
Carrier Grade NAT Problematik zur Aufbewahrung und wie ein Bankkonto für den Versand und Empfang von virtuellen
Währungen genutzt werden. Der Einsatz von Computerprogrammen ermöglicht es zudem
Aufgrund der häufigen Nutzung der Carrier Grade NAT Technologie, bei denen mehreren eine Vielzahl von Schritten beim Zahlungsverkehr zu automatisieren. Das reicht von der
Internetnutzerinnen und Internetnutzer zeitgleich idente IP-Adressen vom Netz Provider Generierung dieser Wallets, bis zu eigenständigen, maschinellen Überweisungen von
zugewiesen werden, können viele Straftaten nicht geklärt und auch die Verfasser von

Geldbeträgen. Durch die Flut an anonymen Überweisungen werden Strafverfolgungs-
behörden vor Herausforderungen gestellt, die bei den notwendigen Erhebungen nicht
mehr bewältigt werden können. 3
Zum Zwecke der Strafverfolgung und zur Abwehr von Gefahren wäre für Ermittlungen
die Schaffung verbesserter rechtlicher Rahmenbedingungen erstrebenswert. 2019
wurde die 5. Geldwäscherichtlinie umgesetzt, die bereits eine Verbesserung der Si-
Jahresrück-
blick
tuation brachte. Dennoch gibt es in dieser Richtlinie bei virtuellen Währungen noch
offene Gesetzeslücken wie zum Beispiel den Grenzwert für Transaktionen ab dem die
Identität des Inhabers durch die so genannten Krypto Exchange, die vor allem virtu-
elle Währungen in reales Geld tauschen und umgekehrt, protokolliert werden muss.
Einen Lösungsweg zeigt die Schweizer Finanzmarktaufsicht Finma auf, die altbekannte
Regeln auch für Kryptozahlungen gegen Bedenken und Widerstände von Lobbyisten
durchsetzen konnte. Die Legislative erweiterte einfach ein Verfahren, das schon seit
langem für gewöhnliche Finanztransaktionen bei der Durchführung durch Banken gilt.
Die mittlerweile in der Schweiz geltende verpflichtende Übermittlung von Sender und
Geldempfänger bei Transaktionen von virtuellen Währungen versetzt die Schweiz nun in
die Lage organisierte Kriminalität, Geldwäsche und Terrorismusfinanzierung wesentlich
besser bekämpfen zu können.

Zahlen und Fakten im Überblick Die Internetkriminalität wird in Cybercrime im engeren Sinne und weiteren Sinne
unterteilt.
Die vorangehend angeführten rechtlichen Herausforderungen wirken sich entsprechend
auf die IT-Ermittlungen und in Folge auch auf die Kriminalitätsentwicklung aus. Die
nachfolgenden Zahlen und Daten stammen ausschließlich aus der Polizeilichen Kriminal- Cybercrime im engeren Sinn
statistik (PKS).
Cybercrime im engeren Sinne umfasst kriminelle Handlungen, bei denen Angriffe auf
Tabelle: Entwicklung der Jahr Anzahl der begangenen Anzahl der geklärten Aufklärungsquote Daten oder Computersysteme unter Verwendung der Informations- und Kommunikations-
Anzeigen, der aufgeklärten Straftaten Straftaten (gerundet) technik (IKT) begangen werden. Die Straftaten sind gegen die Netzwerke selbst oder
Fälle und der Aufklärungs-
quote von Cybercrime 2010 2010 4.223 2.336 55,30% aber gegen Geräte, Dienste oder Daten in diesen Netzwerken gerichtet wie zum Bei-
bis 2019
2011 4.937 2.370 48,00%
spiel bei der Datenbeschädigung, dem Hacking oder sogenannten „Distributed Denial
of Service“ (DDoS) Angriffen.
2012 8.866 2.195 24,80%
2013 10.053 4.545 45,25%

2019 musste bei Tatbeständen zu Cybercrime im engeren Sinn ein überdurchschnittlich
2014 8.966 3.660 40,80%
hoher Anzeigenanstieg von 148,3 Prozent gegenüber dem Vorjahr verzeichnet werden.
2015 10.010 4.157 41,50% Die beiden häufigsten Deliktsarten waren der widerrechtliche Zugriff auf ein Computer-
2016 13.103 5.072 38,70% system § 118a Strafgesetzbuch (StGB) und der betrügerische Datenverarbeitungsmiss-
2017 16.804 6.470 38,50% brauch § 148a StGB.
2018 19.627 7.332 37,40%
Der § 118a StGB hat eine Steigerung von 69,7 Prozent bei einer Reduktion der Aufklärungs-
2019 28.439 10.192 35,80%
quote von -13,3 Prozent zu verzeichnen. Der § 148a StGB hat sich mit 5.537 Delikten und
einer Zunahme von 291,3 Prozent beinahe verdreifacht. Trotz dieser großen Steigerung
Die Abbildung der Entwicklung von Cybercrime in den letzten zehn Jahren zeigt, dass mit konnten 1.262 Straftaten aufgeklärt werden. Damit konnte die Aufklärungen in diesem
28.439 Delikten 2019 gegenüber dem Vorjahr ein Anstieg von 44,9 Prozent zu verzeichnen Delikt gegenüber 2018 immerhin um 254,5 Prozent gesteigert werden.
ist (2018: 19.627). Trotz des enormen Zuwachses der Anzeigen konnte die Aufklärungs-
quote im gleichen Zeitraum nahezu konstant gehalten werden. Die Anzahl der geklärten Delikt Angezeigte Fälle Angezeigte Fälle Geklärte Geklärte Tabelle: Angezeigte Fälle
Straftaten stieg in diesem Bereich von 7.332 erstmals auf über 10.000 Fälle, wodurch 2018 2019 Straftaten 2018 Straftaten 2019 und geklärte Straftaten
von Cybercrime im engeren
eine Aufklärungsquote von 35,8 Prozent erreicht werden konnte. Weitere Details können § 107c StGB 308 330 230 255 Sinn nach Paragraphen des
der Tabelle zur Entwicklung von Cybercrime der letzten zehn Jahre entnommen werden. § 118a StGB 403 684 110 96
Strafgesetzbuches 2019 im
Vergleich zu 2018
§ 119 StGB 11 11 8 10
Abbildung: Entwicklung der 30.000 Anzahl der begangenen Straftaten 28.439
Anzeigen und der auf- § 119a StGB 45 47 7 8
geklärten Fälle von Cyber- 25.000 Anzahl der geklärten Straftaten § 126a StGB 415 467 73 68
crime 2010 bis 2019
19.627 § 126b StGB 102 93 10 12
20.000
16.804 § 126c StGB 201 243 51 54
15.000 13.103 § 148a StGB 1.415 5.537 356 1.262
10.053 10.010 10.192 § 225a StGB 170 210 141 136

8.866 8.966
10.000
7.332 Gesamt 3.070 7.622 986 1.901
6.470
4.223 4.937 4.545 5.072
5.000 3.660 4.157
2.336 2.370 2.195
0
2010 2011 2012 2013 2014 2015 2016 2017 2018 2019

Cybercrime im weiteren Sinn mehr als 59 Prozent der Anzeigen dar. Der Anteil der aufgeklärten Delikte
konnte, trotz des erheblichen Anstiegs gegenüber dem Vorjahr, mit 28,8 Pro-
Unter Cybercrime im weiteren Sinne werden Straftaten verstanden, bei denen die IKT als zent dennoch stabil gehalten werden.
Tatmittel zur Planung, Vorbereitung und Ausführung von herkömmlichen Kriminaldelikten
eingesetzt wird, wie zum Beispiel Betrugsdelikte, Drogenhandel im Darknet, porno-
graphische Darstellungen Minderjähriger im Internet, Cybergrooming oder Cybermobbing. Dunkelziffer und Anzeigeverhalten
Tabelle: Angezeigte Fälle Delikt Angezeigte Fälle Angezeigte Fälle Geklärte Geklärte Im Bereich der Internetkriminalität sind die Dunkelziffern, insbesondere unter
von Cybercrime im weiteren 2018 2019 Straftaten 2018 Straftaten 2019 Beachtung internationaler Studien, besonders hoch. Die diesbezüglichen
Sinn nach Paragraphen des
Strafgesetzbuches 2019 im Internetbetrug Gründe sind mannigfaltig. Viele Betroffene scheuen die Anzeige bei der
Vergleich zu 2018
§ 146 StGB 11.417 14.494 4.237 5.512
Polizeidienststelle, teils aus Scham, Angst vor Reputationsverlust oder weil
angenommen wird, dass der Fall ohnehin nicht verfolgt werden könne.
§ 147 StGB 1.248 1.560 366 436
§ 148 StGB 663 777 353 434

Jedoch kann mit jedem angezeigten Fall die Beweismittellage zu verdächtigen
Internetbetrug- Tätergruppen weiter verdichtet werden. Außerdem verbessert die Anzahl der
13.328 16.831 4.956 6.382
Gesamt
Anzeigen die frühere Erkennung von neuen Massenphänomenen für die er-
Sonstige Kriminalität im Internet
mittelnden Strafverfolgungsbehörden. Ebenso können Präventionsmaßnahmen
§ 144 StGB 1.599 1.874 49 80 zeitnaher gesetzt und mit zielgerichteten Warnhinweisen an die Bevölkerung
§ 145 StGB 92 84 13 18 die Zahl der Geschädigten reduziert werden. Eine Wiedererlangung abhanden
§ 207a StGB 1.161 1.666 1.037 1.541 gekommener Vermögenswerte gelingt jedoch selbst nach internationaler
§ 207b StGB 1 4 1 4 Ausforschung der Täter nur in den seltensten Fällen. Deshalb gebührt im Be-
§ 208a StGB 108 101 67 69

reich des Internetbetrugs, der Verhinderung von Straftaten durch angeregte
Bewusstseinsbildung und Aufklärung, erhöhte Aufmerksamkeit. Die Täter
§ 218 StGB 10 12 3 7
nutzen menschliche Schwächen, wie Gier und Sehnsüchte nach Anerkennung
§ 223 StGB 24 42 15 35
oder Beziehungen aus, um sich zu bereichern. Auch im vergangenen Jahr blieb
§ 224 StGB 7 21 5 9
Social Engineering der maßgebliche Angriffspunkt.
§ 229 StGB 1 1
§ 231 StGB 15 16 6 8
§ 232 StGB 35 62 33 54
§ 241a StGB 4 3
§ 297 StGB 5 5
§ 3g VerbotsG 176 95 160 76
Sontige
Kriminalität 3.229 3.986 1.390 1.909
gesamt
Cybercrime
19.627 28.439 7.332 10.192
gesamt
Der Internetbetrug erreichte 2019 mit 16.831 Anzeigen einen neuen Höchststand. Die
Anzahl der angezeigten Fälle von Betrugsformen im Internet §§ 146 bis 148 StGB folgten
mit einem Anstieg von 26,3 Prozent dem stetig steigenden Trend der vergangenen Jahre.
Auf den gesamten Bereich Cybercrime gerechnet, stellt somit der Internetbetrug etwas

4 „Crime as a Service“
Die Leistungen an sogenannten „Crime as a Service“-Diensten, die im Internet angeboten
Phänomene
werden, nahmen weiterhin zu. Es handelt sich dabei vorwiegend um Hackingtools, Schad-
software, wie beispielsweise Verschlüsselungstrojaner oder spezielle Dienstleistungen
der Geldwäsche. Auch die Nutzung von Bot-Netzwerken, die DDoS-Angriffen oder zum
Versand von Spam-E-Mails dienten, konnten vermehrt wahrgenommen werden. Ebenso
und
wurde ein Anstieg beim in Verkehr bringen von Falschgeld, Material mit Online-Kindes-
missbrauch, Kreditkartendaten und gefälschten Urkunden bemerkt.
Mit den im Darknet angebotenen Diensten stiegen vor allem Massenerpressungsmails und
Ermittlungen
gezielte Erpressungen durch Ransomware und Bitcoin-Forderungen an. Die Täterschaft
benötigte damit keinesfalls mehr tiefgreifendes Wissen zur technischen Durchführung,
sondern wird mit den „Crime as a Service“-Leistungen in die Lage versetzt, das fehlende
Wissen mit entsprechenden Diensten zukaufen zu können. Mit einem „Ransomware as
a Service“-Modell machten beispielsweise die Entwickler der Ransomware „GandCrab“
im Zeitraum von Anfang 2018 bis Mitte 2019, ihren eigenen Angaben zufolge, mehr als
zwei Milliarden US Dollar Gewinn.
https://www.zdnet.com/article/gandcrab-ransomware-operation-says-its-shutting-
down/
Ransomware
Ransomware wurde in den letzten Jahren zu einem der wichtigsten Werkzeuge von
Cybercrime-Tätern. Diese Schadsoftware verschlüsselt Nutzerdaten, um für deren
Wiederherstellung die Bezahlung von Lösegeldern, meist in Form von Bitcoins, zu fordern.
Es existieren mittlerweile zahlreiche Varianten mit unterschiedlichen Verbreitungs-
wegen und verschiedenen Verschlüsselungsalgorithmen. Die Gefahr, seine Daten durch
Schadsoftware zu verlieren, die die eigenen Daten verschlüsselt und auch häufig die
Sicherungen durch Backups, die zum Zeitpunkt der Verschlüsselung erreichbar waren,
unbrauchbar macht, ist immer noch sehr groß.
Im letzten Jahr wurden zentral 220 Fälle von Ransomware bearbeitet . Dabei konnten
einige Tatverdächtige erfolgreich ausgeforscht werden. Ein Schwerpunkt galt den
Organisationsstrukturen für den Vertrieb von Ransomware, die ebenfalls ermittelt werden
konnten. Die Angriffe richteten sich vorwiegend gegen kleine und mittlere Unternehmen
(KMU) und weniger gegen Einzelpersonen. Dadurch hatte sich das Risikopotential für
die österreichische Unternehmenslandschaft deutlich erhöht.

Als Gefahren für eine Infektion gelten: entwickelten Software die Beschuldigten den jeweilig zuständigen Mitgliedsstaaten
zuordnen können und diese Erkenntnisse Europol übermittelt.
• Fernzugriffe (die für Firmen für die Fernwartung und Datenzulieferung häufig not-
wendig sind),
• Emails mit schädlichem Dateianhang oder mit Links über die Schadsoftware nach- Weitere Informationen:
geladen wird, https://www.europol.europa.eu/newsroom/news/
• Schadsoftware über die die Verschlüsselungssoftware nachgeladen wird (zum multi-million-euro-cryptocurrency-laundering-service-bestmixerio-taken-down
Beispiel Emotet),
• zahlreiche andere Wege sich mit einem Verschlüsselungstrojaner infizieren zu
können, wie beispielsweise Drive-by-Downloads, Supply Chain Attacks oder Erpressungs-E-Mails
Malvertising.
Auf das Massenphänomen der betrügerischen Erpressungs-E-Mails wurde Anfang
Im Laufe des Jahres gingen die Täter immer zielgerichteter gegen ihre Opfer vor und mit 2019 mit der Gründung einer eigenen Arbeitsgemeinschaft „ARGE-Erpressungs-E-Mail“
einer technischen Kompromittierung des Computersystems des Opfers von durchschnitt- reagiert. Die Täter dieser Delikte versuchen durch das Versenden von E-Mails mit er-
lich vierzehn Tagen wurden auch deren Methoden viel aufwendiger und ausgeklügelter. presserischem Text, der die Empfängerin oder den Empfänger in Angst und Schrecken
So wurden die Höhen von Erpressungssummen an den Umsatz und die Verschlüsselungs- versetzen soll, möglichst viele Opfer zu finden. Die dabei angedrohten Konsequenzen
prozesse an die Backup-Strategien ihrer Opfer angepasst. werden vom Täter nur vorgetäuscht.
Ransomware bleibt zusammengefasst eine der größten Gefahren im Internet, um seine Im Gegensatz zu den massenhaft auftretenden Erpressungsmails besteht bei Sextortion
Daten zu verlieren. Bestehende Varianten von Ransomware werden technisch ständig eine Täter-Opfer Beziehung. Was zunächst wie ein harmloser Flirt beginnt, endet letztlich
weiterentwickelt und auch der Modus Operandi vom Weg der Infektion bis zur Löse- mit hohen Geldforderungen. Sextortion bezeichnet eine Betrugsmasche im Internet, bei
geldforderung den Umständen und Opfern flexibler angepasst. Angriffe mit Ransomware der Internetnutzerinnen und -nutzer von attraktiven Unbekannten in Videochats dazu
erfuhren im letzten Jahr eine zielgerichtete Spezialisierung auch auf Unternehmen, bei aufgefordert werden, nackt zu posieren oder sexuelle Handlungen an sich vorzunehmen.
denen die Geldforderungen der Täterschaft an die wirtschaftliche Leistungsfähigkeit Die Täter zeichnen das auf und erpressen ihre Opfer mit der Veröffentlichung der heim-
beziehungsweise an die vorhandene IT-Infrastruktur mit ihren Backup-Lösungen an- lich gemachten Fotos oder Videos.
gepasst werden. Die Infektion in Unternehmen hat immer häufiger den Ursprung in
anderer Schadsoftware (Trojaner), die wochen- oder monatelang vor der eigentlichen
Datenverschlüsselung das komplette Netzwerk oder Computersystem ausgespäht hat. Internetbetrug
Die Angriffe lassen immer öfter auf großes Knowhow organisierter Tätergruppen be-
ziehungsweise Anbietern von „Ransomware as a Service“ schließen. Mit der fortschreitenden Digitalisierung verlagern sich Betrugsdelikte immer mehr ins
Internet. Das Internet wird dabei als Werkzeug zur Begehung dieser Taten eingesetzt,
denn es bietet für die Täter die Möglichkeit, mit der Anonymität und der weltweiten
Bitcoin-Mixer und deren erfolgreiche Bekämpfung Vernetzung einfach und weitgehend unerkannt eine große Anzahl von potentiellen
Opfern zu kontaktieren.
In den vergangenen Jahren wurde bei kriminellen Transaktionen in der Blockchain ein
erhöhter Anstieg von sogenannten Bitcoin-Mixern festgestellt. In einer im Juni 2018 2019 waren neben den Zuwächsen bei den klassischen Betrugsdelikten auch beim
gestarteten Ermittlung wurden im Mai 2019 die Betreiber der Webseite „Bestmixer.io“ Internetbetrug Steigerungen zu verzeichnen. Der Internetbetrug umfasst eine Vielzahl
ausgeforscht. Die Server wurden von den Behörden in den Niederlanden sichergestellt. von Modi Operandi, die von Anlagebetrügereien, Gewinnversprechen in E-Mails oder
Durch die Analyse von Kryptowährungstransaktionen konnte den Betreibern der Webseite Vortäuschen von Liebesbeziehungen bis hin zum Bestellbetrug durch vorgetäuschte
ein Umsatz von umgerechnet 200 Millionen Euro nachgewiesen werden. Hierzu wurde in Warenlieferungen reichen. Zusätzlich ist gerade im Bereich des Internetbetrugs zumeist
den Niederlanden ein Geldwäscheverfahren geführt. Das C4 hat hierbei mit einer selbst von Massendelikten auszugehen. Die spezialisierten Tätergruppierungen gehen arbeits-
teilig, technisch versiert und dementsprechend überlegt vor.

Häufige Tathandlungen waren auch das Vortäuschen besonders lukrativer Geschäfts- Beim Spoofing werden oftmals Callcenter im Ausland eingerichtet, um sich zunächst
modelle, wie der Finanz-Online-Betrug oder der allgemeine Anlagebetrug unter der Daten einer angerufenen Person noch einmal zu vergewissern. Meist stammen die
Verwendung von Kryptowährungen oder das Anbieten vermeintlich technischer Unter- Namen und angerufenen Telefonnummern aus Listen von unseriösen Datenhändlern oder
stützung, wie der sogenannte Tech Support Scam oder der Microsoft-Betrug. Im Mai 2019 Quellen im Darknet. Diese Callcenter senden zumeist eine falsche Telefonnummer mit,
wurden bereits die ersten Fälle von versuchtem CEO Fraud via WhatsApp gemeldet, bei um ihre wahre Herkunft zu verschleiern. Die Täter gehen hier in der Regel ungezielt vor
dem Unternehmer zur Überweisung hoher Geldbeträge verleitet wurden. und lassen diese Listen sogar automatisiert von ihren freundlich wirkenden Mittätern
abarbeiten. Dies dient oft einer schnellen Auswahl von möglichen Opfern. Inhalte der
Im Herbst 2019 kam es zu einem exponentiellen Anstieg von Angriffen auf Social Media Gespräche sind in der Regel Angebote von Gewinnspielen oder es werden ausstehende
Accounts. Häufig wurden alte, von Vorbesitzern nicht mehr genutzte, aber durch Täter Beträge aus angeblichen Käufen oder Verträgen eingefordert. 2019 gab es einen Anstieg
recycelte Accounts für zahlreiche Betrugshandlungen verwendet. von Anrufern, die sich als Kriminalpolizistinnen und Kriminalpolizisten ausgegeben und
vor allem ältere Personen mit angekündigten Abholungen von Geldbeträgen und Sach-
Die Bekämpfung des Bestellbetrugs ist ein Schwerpunkt des BK. Dabei stehen be- werten um ihre Vermögen gebracht haben. Die mitgesendeten falschen Telefonnummern
trügerische Bestellungen über das Internet bei österreichischen Online-Händlern im haben oft eine österreichische Vorwahl, um beim Opfer Vertrauen zu wecken. Mittlerweile
Fokus. Im letzten Jahr wurde dazu unter der Leitung Österreichs gemeinsam mit Europol können die Nummern dieser Callcenter für jeden einzelnen Anruf automatisch generiert
die „E-Commerce Action Week“ abgehalten. So konnten in Zusammenarbeit mit dem C4 werden. Diese Anrufe werden über die Voice over IP (VoIP) Technologie abgewickelt
rund 200 neue falsche Onlineshops, vorwiegend im Technik- und Bekleidungsbereich und über Server in Länder ohne Abkommen zur internationalen Strafverfolgung weiter-
ermittelt werden, die auf wenige Tätergruppierungen zurückzuführen waren. In der Vor- geleitet. Damit sind weiterführende Erhebungen nahezu aussichtslos. Die Polizei setzt
weihnachtszeit 2019 wurde man auf eine Verdoppelung der Fake- und Phishingshops daher ihren Schwerpunkt auf verstärkte Präventionsarbeit.
aufmerksam. Diese zeigte sich insbesondere durch durchschnittlich bis zu zehn neue
Fake-Shops pro Tag. Ebenso wurden zahlreiche Betrugsfälle durch das Verwenden
falscher Identitäten und Kontaktdaten bei Bestellungen im Internet, durch Kontaktauf- Suchtmittelhandel im Darknet
nahme per Telefon, Email oder über Soziale Medien registriert.
Der Online-Handel mit verbotenen Substanzen hat sich mittlerweile zu einer gängigen
Mit dem gemeinsamen Ziel den Bestellbetrug in Europa zu bekämpfen, wurde der Fokus Begehungsform der Suchtmittelkriminalität entwickelt. Sowohl Einzeltäter als auch kri-
im Jahr 2019 auf Prävention gerichtet. Gerade hier ist es wichtig, die Schäden durch minelle Organisationen bedienen sich des Darknets zur Abwicklung ihres organisierten
präventive Maßnahmen zu verhindern. In der Praxis sind oft internationale Ermittlungen Suchtmittelhandels und generieren damit ihre illegalen Gewinne. Von der Kontaktauf-
nötig, wo repressive Maßnahmen nur sehr schwer durchgeführt werden können. Das nahme über Verkaufsverhandlungen bis hin zur Bezahlung wird der gesamte Ablauf
BK setzt daher neben der wirksamen Präventionsarbeit auch auf eine intensive Zu- über verschlüsselte Netzwerke abgewickelt. Ermittlungen zeigen bislang, dass der
sammenarbeit zwischen Wirtschaft und Polizei, um Internetbetrug effektiv bekämpfen Online-Drogenhandel den Straßenhandel nicht verdrängt. Vielmehr wird der Handel auf
zu können. Dazu wurde gemeinsam mit der Wirtschaftskammer Österreich (WKO) eine Online-Plattformen dazu genutzt, illegale Suchtmittel höherer Qualität zu erwerben, um
Informationsveranstaltung für Online-Händlerinnen und -Händler abgehalten und eine diese im Straßenverkauf gewinnbringend weiterzuverkaufen. Der klassische Straßen-
Roadshow durch alle Bundesländer veranstaltet. Ziel der Maßnahme war es Möglich- handel wird somit durch den Internethandel erweitert und ergänzt.
keiten zum eigenen Schutz anzubieten und den Austausch mit der Privatwirtschaft und
der Polizei im Rahmen des Projekts „Gemeinsam.Sicher“ zu intensivieren. Wie sehr Österreich vom Online-Suchtmittelhandel betroffen ist, zeigen die nach-
stehenden Zahlen. Seit September 2016 werden durch den deutschen Zoll Schwerpunkt-
kontrollen bei den zu exportierenden Briefsendungen durchgeführt. Dabei wurden im
Voice over IP-Spoofing internationalen Briefzentrum Frankfurt am Main bisher etwa 13.200 Briefsendungen durch
das Zollfahndungsamt sichergestellt, die insgesamt rund 1.200 Kilogramm Suchtmittel
Als gängige Vorbereitungshandlung für klassische Betrugshandlungen, aber auch für zum Inhalt hatten. Adressiert waren die Briefsendungen an Empfänger aus über 90 ver-
den stark ansteigenden Internetbetrug wurden die operativen Ermittlungsbereiche in schiedenen Nationen. Dabei belegt Österreich, gemessen an der Anzahl der Empfänger,
den Landeskriminalämtern (LKA) vermehrt auf den Modus Operandi des „Voice over seit Beginn der Kontrollen, den zweiten Platz hinter den USA und liegt noch vor Destina-
IP-Spoofing“ aufmerksam. tionen, wie Großbritannien, Frankreich oder Australien. Im zweiten Halbjahr 2019 wurde

diese Reihung von Österreich angeführt. Die für Österreich bestimmten Postsendungen Eine weitere Problematik in diesem Bereich ist immer noch das sogenannte „Liken“ be-
enthielten insgesamt rund 163 Kilogramm Suchtgift, hauptsächlich Amphetamin und ziehungsweise Weiterleiten von Videos, die vor allem via Facebook verbreitet werden
MDMA sowie 34.000 Stück Ecstasy-Tabletten und 1.080 LSD Trips. Der Ursprung dieser und sexuelle Handlungen von Minderjährigen mit Tieren zeigen. Derartige Darstellungen
Postsendungen ist in der Regel auf die Niederlande zurückzuführen. Etwa 75 Prozent werden oft gedankenlos als vermeintliche „Spaßvideos“ an andere Userinnen und User
der in Österreich sichergestellten Postsendungen wurden von dort versandt. Auch in weitergeleitet ohne sich darüber im Klaren zu sein, dass schon der Besitz und die Ver-
Österreich werden im Zuge von regelmäßigen Kontrollen Postsendungen mit Sucht- breitung solcher Darstellungen ebenfalls strafbar sind.
mitteln sichergestellt. Insgesamt wurden im Zeitraum von Jänner 2016 bis Jänner 2020
rund 9.100 Postsendungen mit Suchtmitteln eingezogen. Diese Sendungen enthielten
insgesamt rund 232 Kilogramm sowie 67.300 Stück Suchtmittel. Die Folgeermittlungen
zu den bisherigen Sicherstellungen ergaben, dass das Suchtmittel der aufgegriffenen
Briefsendungen ausschließlich über Darknet-Marktplätze bestellt wurde.
Eine ernstzunehmende Gefahr des Online-Handels zeigt sich auch mit dem ansteigenden
Postversand von designten Derivaten, wie zum Beispiel Carfentanyl oder der Substanz
U-47700. Diese Substanzen können schon beim Einatmen oder bei bloßem Hautkontakt
zu beträchtlichen Gesundheitsschäden bis hin zum Tod führen. Eine große Anzahl der
im Darknet verkauften illegalen Suchtmittel wird in den Niederlanden hergestellt und
über diverse Vertriebskanäle am Postweg nach Österreich versandt.
Aber nicht nur Konsumentinnen und Konsumenten, sondern auch Suchtmittelhändlerinnen

und -händler im Darknet konnten sich in Österreich etablieren. Seit der Gründung eines
für den Suchtmittelhandel im Darknet spezialisierten Referates im BK mit Dezember
2018 konnten bereits zwölf in Österreich tätige Betreiber international agierender
Darknet-Shops für Suchtmittel ausgeforscht werden. Mit nachgewiesenen Umsätzen
in Millionenhöhe konnten diese zusammen mit ihren Mittätern festgenommen werden.
Dabei wurden große Mengen an Kokain, Methamphetamin, Ecstasy-Tabletten sowie
Benzodiazepine sichergestellt.
Pornographische Darstellungen Minderjähriger
Die Zahl der Anzeigen wegen pornographischer Darstellungen Minderjähriger (Para-

graph 207a StGB) ist 2019 erneut um 43,5 Prozent auf 1.666 angestiegen (2018: 1.161
Anzeigen). Dies resultiert unter anderem daraus, dass die verschiedenen Anbieter von
sozialen Medien in den USA bzw. Kanada den Kampf gegen die Verbreitung von kinder-
pornografischen Daten massiv verstärkt haben. So werden die einzelnen Dienste auf
kinderpornografische Dateien überprüft und der betroffene Account gesperrt. Damit
einhergehend erfolgt eine entsprechende Verdachtsmeldung an das jeweilige Land, dem
der Verursacher zugeordnet werden kann.

5 Kriminalpolizeiliche Struktur zur Bekämpfung von
Cybercrime
Bekämpfung
Für die Gewährleistung von mehr Sicherheit im virtuellen Raum ist es notwendig eine
bundesweit umfassende Strategie zur Bekämpfung von Cybercrime zu verfolgen.
Deshalb nimmt diese österreichweit bei der Polizei auf lokaler Ebene in den rund 900
Polizeiinspektionen und in über 100 Bezirks- und Stadtpolizeikommanden einen Schwer-
punkt ein. Darüber hinaus sind auf Länderebene technisch ausgebildete Expertinnen
und Experten zur Durchführung und Unterstützung von technischen Ermittlungs- und
Beweissicherungsmaßnahmen tätig.
Die Zuständigkeit auf Bundesebene zur Bekämpfung von Cybercrime obliegt innerhalb
der Abteilung Kriminalpolizeiliche Assistenzdienste des BK dem C4. Es ist nationale
und internationale Koordinierungs-, Ermittlungs- und Meldestelle im Zusammenhang
mit Cybercrime im engeren Sinn sowie für die elektronische Beweismittelsicherung und
deren Auswertung zuständig. Eingerichtet ist die C4-Meldestelle als 24/7 erreichbare
Kontaktstelle gemäß der Budapest Cybercrime Convention und anderen internationalen
Vereinbarungen. Darüber hinaus agiert die C4-Meldestelle als wichtige Ansprechstelle für
die Bevölkerung und Unternehmen, wodurch im Schadensfall eine rasche Unterstützung
erfolgen und neue Phänomene frühzeitig erkannt werden können. Das C4 dient aber
auch für alle Polizeidienststellen als wichtige Drehscheibe und als Koordinationspunkt.
Das C4 gliedert sich mit seinen Schnittstellen zum Cyber Security Center (CSC) des
Bundesamtes für Verfassungsschutz und Terrorismusbekämpfung (BVT) sowie inter-
national zu Europols EC3 als wesentlicher Bestandteil in die Strategie des Bundes-
kanzleramts (BKA) ein. In diesem Zusammenhang ist das C4 Teil des Innerer Kreises der
operativen Koordinierungsstrukturen (IKDOK).
https://www.bundeskanzleramt.gv.at/themen/cyber-sicherheit-egovernment.html

Abbildung: Organigramm
1.797 Abbildung: Meldungen an die
1.800 Anzahl der E-Mail-Eingänge
des C4 Cybercrime Competence Center C4 1.753 Anzahl der Telefon-Meldungen C4-Meldestelle 2019
1.600
Büro 5.2 Summe der relevanten Meldungen (mit Cybercrime Bezug)
1.400
1.200 1.129 1.167 1.160 1.109 1.136

Meldestelle 1.000 942 982 937
1.012 913
942 823
800 897 886 768
849
817 775
Referat Referat Referat Referat 600 743
685 629 658
5.2.1 5.2.2 5.2.3 5.2.4 400
Zentrale IT-Beweis- IT- Entwicklung 238
200
Aufgaben sicherung Ermittlungen & Innovation 111 110 78 80 70 76 62 81 60 60 47
0
Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez
KFZ-
Ermittlungen
Forensik In ihrer zentralen Funktion als Cybercrime-Schnittstelle innerhalb polizeiinterner Struktu-
ren, sowie als Meldestelle für Bevölkerung und Wirtschaft agiert die Meldestelle als Ko-
ordinierungs- und Informationszentrum. Zusätzlich umfasst ihre Tätigkeit auch proaktive,
präventive Maßnahmen in Form von Warnmeldungen, die von speziell geschulten Mit-
IT- ADA &
arbeiterinnen und Mitarbeitern erstellt werden. Die deutlich erkennbare Sensibilisierung
Forensik Datenbanken
und Bewusstseinsbildung für das Thema Cybercrime erfolgte in fortlaufender Kooperation
mit unterschiedlichen Institutionen aus dem Bereich der Wirtschaft und Vereinen, wie
beispielsweise der WKO oder der Initiative „Watchlist Internet“. Darüber hinaus führen
Mobile Erstanalysen der eingehenden Meldungen zu schnellen Informationsweitergaben aktueller
Forensik Phänomene, damit akut negative Auswirkungen auf potentiell weitere Opfer minimiert
werden können. Für diese Aufgaben ist ein technischer Journaldienstbetrieb eingerichtet,
der in dringenden Fällen organisationsübergreifende Sofortmaßnahmen einleiten kann.
Meldestelle Zur raschen und effizienten Gewährleistung internationaler Ermittlungen stellt die Melde-
stelle eine Drehscheibe zu anderen internationalen Dienststellen und Polizeieinheiten
Die Meldestelle zur Bekämpfung der Internetkriminalität ist seit knapp zehn Jahren im wie dem Interpol Digital Cyber Center (IDCC), dem Europäischen Cybercrime Center
C4 etabliert und ist in einem 24/7 Betrieb rund um die Uhr erreichbar. Durch diese kön- (EC3) und den jeweiligen High-Tech Crime Units anderer Staaten – National Contact
nen die erforderlichen Maßnahmen zur Gefahrenabwehr umgehend eingeleitet werden. Points (NCPs) dar.
Anfragen und Meldungen erhält die Meldestelle von Bürgerinnen und Bürgern, Unter-
nehmen sowie nationalen und internationalen Polizeidienststellen. 2019 wurde die Melde- Kontakt:
stelle mit 13.936 Anfragen konfrontiert, wobei davon 10.646 einen Bezug zu Cybercrime Bundeskriminalamt
hatten (2018: 8.331 Anfragen). Der detaillierten Betrachtung kann der starke Jahresbeginn Meldestelle Cybercrime
und die leichte Reduktion an Meldungen im Jahresverlauf aus der Abbildung Meldungen Josef-Holaubek-Platz 1, 1090 Wien
an die C4-Meldestelle entnommen werden. Quelle der Daten zu den Anfragen an die Email: against-cybercrime@bmi.gv.at
C4-Meldestelle ist das C4.

80.000 75.000
Weitere Informationen: Abbildung: Ausgewertete
70.000 68.000 forensische Daten 2018 und
Watchlist Internet: www.watchlist-internet.at
2019 in Gigabyte
Europol: https://www.europol.europa.eu/about-europol/european-cybercrime-centre-ec3 60.000
60.000
50.000 45.000 45.000
41.000 43.000
40.000
40.000 37.000
36.000 40.000 42.000
Zentrale Aufgaben 35.000 28.00030.00035.000 35.000 35.000 30.000
30.000
30.000 30.000 28.000 27.000
20.000 25.000
Das Referat für zentrale Aufgaben zeichnet sich verantwortlich für Beschaffung, Bereit-
stellung und Instandhaltung der C4-internen Infrastruktur. Darüber hinaus übernimmt 10.000
es administrative Tätigkeiten des C4 bei nationalen und internationalen Gremien, 0
öffentlichen Veranstaltungen, im Berichtswesen und in der Koordination bei Aus- und Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez
Fortbildungsmaßnahmen für den Bereich IT-Ermittlungen, sowie in der elektronischen Forensische Daten 2019 Forensische Daten 2018
Beweismittelsicherung. Bereits seit 2012 findet eine grundlegende Ausbildung von Be-
zirks-IT-Ermittlerinnen und -ermittlern statt. Mittlerweile unterstützen mehr als 300
speziell ausgebildete Beamtinnen und Beamte durch fachgemäße Erstmaßnahmen und Aufgrund technischer Entwicklungen wird die Auswertung dieser Medien aber immer
Ermittlungen auf lokaler Ebene. Für diese Ausbildung werden die Vortragenden aus dem schwieriger. Herstellerspezifische Systeme mit Verschlüsselungsverfahren stellen die
Pool der besten Expertinnen und Experten des BK und der LKAs rekrutiert. elektronische Beweissicherung laufend vor große Herausforderungen. Insbesondere
im Bereich der mobilen Forensik werden Datensicherungen und Auswertungen immer
Als zusätzliche Fortbildungsmaßnahme für Kriminalbedienstete wird das Thema Cyber- komplexer. Die steigenden Zahlen zu forensischen Tätigkeiten erklären sich mit den
crime insbesondere im Rahmen der Kriminaldienstfortbildungsrichtlinie (KDFR) vermittelt. zunehmend aufwendigeren Auswertungen von Smartphones, die zum Teil von dem zu-
ständigen Assistenzbereich „IT-Beweissicherung“ der LKA nicht mehr bewältigt werden
Auf zahlreichen Veranstaltungen sind regional besonders geschulte Präventions- können. Somit stiegt 2019 die Anzahl der im C4 ausgewerteten Geräte auf 1.578 mit
beamtinnen und -beamte, insbesondere für Klein- und Mittelbetriebe, aber auch für die einer Gesamtdatenmenge von 59.260 Gigabyte gegenüber 964 mit 33.600 Gigabyte
interessierte Allgemeinheit im Einsatz. im Jahr 2018.
Neben der Gremienarbeit mit Europol und Interpol führte das C4 auch die Organisation 300 291 Abbildung: Ausgewertete
wichtiger Veranstaltungen mit internationaler Beachtung durch. So wurde die ITB-Fach- mobile Geräte 2018 und 2019
250
tagung abgehalten und entworfene Trainingsumgebungen für Ermittlungsschritte bei
Transaktionen von virtuellen Währungen vorgestellt. Auf internationaler Ebene vertritt 200 181 184
176
das C4 Österreich in der European Cybercrime Training and Education Group (ECTEG). 149 164
150
121 125
102
100 86 85 88
68 78
Forensik 50
84 79 66 74 75
63 57 52 50 44
IT und Speichermedien stellten sich auch 2019 als unverzichtbar für strafrechtlicher 0
Ermittlungen dar, wobei wieder ein deutlicher Anstieg an forensischen Auswertungen
verzeichnet wurde. Quelle der nachfolgenden Daten der Forensik ist das C4. Die elek- Mobile Geräte 2019 Mobile Geräte 2018
tronische Beweismittelsicherung im C4 sowie in den LKAs gewinnt damit weiterhin an
ressourcenintensiver Bedeutung. Dies zeigt sich 2019 mit 524 Terabyte an forensisch aus-
gewerteten Daten von PC- und Serversystemen gegenüber 2018 mit noch 416 Terabyte.

Abbildung: Ausgewertete
14.000 Im Internet und insbesondere bei Cybercrime werden Kryptowährungen immer öfter
mobile forensische Daten 12.250
12.000 11.500 genutzt. Dieser Trend entsteht vor allem durch den niederschwelligen Einstieg in Krypto-
2018 und 2019 in Gigabyte
10.400 währungen durch einfach bedienbare Softwareprodukte. Dieser relativ einfachen Nutzung
10.000
steht aber die Komplexität der Technologie, die Kryptowährungen erst ermöglicht,
8.000 gegenüber. Deshalb ist gerade für Ermittlungen nicht nur technisches Spezialwissen er-
6.500 forderlich, sondern auch die richtige Ausrüstung ausschlaggebend. Im Bedarfsfall werden
6.000 5.000 5.000
4.700 daher Hilfsmittel für die IT-Ermittlungen im Verbund mit dem Referat für Entwicklung und
4.000 4.000
4.000 3.700 Innovation geschaffen, um die IT-Ermittlerinnen und IT-Ermittler bei ansonsten manuell
3.800 3.900
3.000 1.536 2.300 sehr aufwändigen Tätigkeiten zu unterstützen. Ein gutes Beispiel dafür ist die genannte
2.000 2.500
1.000 Unterstützung bei der Datenanalyse von Bestmixer.io im Punkt „Bitcoin Mixer und deren
1.200 900 1.600 1.000 1.500
550 1.024
0 erfolgreiche Bekämpfung“, die eine Anwendung der gewonnenen Erkenntnisse auf euro-
päischer Ebene zeigt. An diesem Beispiel ist weiters zu sehen, dass bei Cybercrime fast
Mobile forensische Daten 2019 Mobile forensische Daten 2018 ausschließlich digitale Spuren vorliegen und oft nur deren Analyse zum Täter führt. Für
die Koordinierung und Durchführung von kriminalpolizeilichen Tätigkeiten wurde im C4
Das zeit- und ressourcenaufwendige sowie hochspezialisierte Chip Off-Verfahren, bei eine Ermittlungsgruppe mit dem Thema betraut.
dem elektronische Bauteile aus den Geräten herausgelötet und ausgelesen werden, und
die Kfz- Forensik können nur zentral im C4 durchgeführt werden. Der zweite Schwerpunkt bei Cybercrime Ermittlungen ist derzeit das Darknet, das von
Tätern für die Abwicklung illegaler Geschäfte genutzt wird. Dies betrifft besonders die im
Auch 2019 wurde die zentralen Leistungen der Fahrzeugforensik in steigendem Ausmaß Punkt „Crime as a Service“ genannten Dienstleistung, den Online-Handel mit verbotenen
bei der Beweismittelsicherung für 728 Fahrzeugen in Anspruch genommen. Die Fahr- Substanzen sowie sexuelle Kindesmissbrauchsdarstellungen. Das Darknet befindet sich
zeugforensik des C4 wurde als wichtige Säule durch Unterstützung der Ermittlungs- laufend im Wandel, da immer neuere Anonymisierungstechniken eingesetzt werden.
arbeiten, forensische Schwerpunktkontrollen und Intensivierung der Zusammenarbeit Dabei kommen durchwegs sehr spezialisierte Lösungen zur Anwendung, sodass nicht
mit ausländischen Dienststellen etabliert. unbedingt das bekannte TOR Netzwerk zur Anonymisierung genutzt werden muss. Ein
Beispiel dafür ist die anonyme Handelsplattform OpenBazaar, die anonyme Geschäfts-
auftritte und Transaktionsabwicklung ermöglicht. Insofern ist es notwendig über die
IT-Ermittlungen aktuelle Entwicklung im Darknet einen Überblick zu behalten. Mit dieser Aufgabe sowie
der Unterstützung, Durchführung und Koordination von Ermittlungstätigkeiten im Darknet
Das Referat der IT-Ermittlungen ist mit der Leitung, Koordination und Durchführung wurde im C4 ein Experte betraut.
nationaler sowie internationaler Ermittlungen zur zielgerichteten Aufklärung von Cyber-
crime-Delikten betraut. Dafür bedient sich das C4 der erfolgreichen bi- oder multilateraler Die Sonderermittlungskommission zu Ransomware wurde in der ersten Jahreshälfte
Zusammenarbeit mit Europol und Interpol. Im Anlassfall führt der Fachbereich „ADA und 2019 als Ermittlungsgruppe in die Linienorganisation übernommen. Deren Aufgabe ist
Datenbanken“, Automatischer Daten Abgleich (ADA) neben Ermittlungsfällen und Projekt- auch weiterhin das auf Bundesebene zentralisiertes Zusammenfassen, Bearbeiten und
unterstützungen auch die Koordination und Durchführung des automationsunterstützten Ermitteln von Ransomware-Fällen. Dies ermöglicht umfassend die Ransomware-Arten
Datenabgleichs durch. Darüber hinaus ist das Referat auch in der Lage technisch sehr und Tätergruppierungen zu klassifizieren. Durch internationale Kooperation, die vor allem
komplexe Ermittlungen durchzuführen. Diesbezüglich gibt die Entwicklung von Cyber- durch das European Cybercrime Center (EC3) koordiniert wird, erfolgt ein laufender
crime entsprechende Schwerpunkte vor, die von den IT-Ermittlern abgedeckt werden Austausch und gemeinsame Ermittlungen um Täter zu auszuforschen.
müssen. In diesem Zusammenhang sind besonders zu erwähnen Kryptowährungen und
das Darknet, weil deren Nutzung durch Täter tendenziell steigt. Um dieser Entwicklung
nachzukommen, ist im C4 eine entsprechende Expertise für Ermittlungen in diesen Be- Entwicklung und Innovation
reichen aufgebaut worden.
Das Referat für Entwicklung und Innovation setzt sich auf wissenschaftlicher Ebene mit
dem Einsatz von neuen Technologien und deren Folgeabschätzung bei kriminellen Straf-

taten oder deren Potentiale für Aufklärungen auseinander. Dies umfasst die Forschung Neue Erfolgsmodelle in der Ablauforganisation
und das wissenschaftliche Arbeiten auf speziellen cybercrime-relevanten Gebieten durch
Erforschung und Bewertung von Phänomen in den Bereichen der IKT und der digitalen Um organisatorische Verbesserungen auszutesten wurde in der Außenstelle Zentrum Ost
Forensik. Dabei gewonnenes Wissen findet bei der Bewertung und Entwicklung von des Wiener LKA im Februar 2019 ein Probebetrieb mit IT-Ermittlerinnen und Ermittler
unterstützenden Tools, wie Software Werkzeugen, der Wissensvermittlung und Unter- sowie mit digitalen Forensikerinnen und Forensikern gestartet. Bereits in den ersten
stützung bei der Bearbeitung von aktuellen Fällen eine Anwendung. Im Bereich der Wochen wurden diese von Kolleginnen und Kollegen anderer Bereiche konsultiert und mit
digitalen Forensik und bei Cybercrime Ermittlungen ist eine ständige Weiterbildung, aber steigender Akzeptanz im Rahmen der Aktenbearbeitung hinzugezogen. Das geforderte
vor allem die Entwicklung innovativer Ideen für eine Qualitäts- und Effizienzsteigerung Spezialwissen wird insbesondere bei Einvernahmen, Hausdurchsuchungen und OSINT-
gefordert, die durch dieses Referat gestützt werden. Recherchen benötigt. Die Unterstützung umfasst neben der Sicherung von Videos, Bild-
extraktionen, Handyauswertungen auch die Bewältigung logistischer Herausforderungen.
Bundesweite polizeiliche Zusammenarbeit Aus Sicht der IT-Ermittler wird die enge Abstimmung durch kurze Kommunikationswege
und räumliche Nähe zu den Ermittlungsbereichen in der Außenstelle als Erfolgsmodell
Erhält die Sicherheitsbehörde Kenntnis über eine Straftat mit IT-Bezug, was in der gewertet. So können die IT-Ermittler gleich bei Aufnahme der Arbeiten unmittelbare
Regel durch Mitteilung eines Geschädigten bei einer Polizeiinspektion erfolgt, kann Ermittlungsansätze finden oder ausschließen.
insbesondere bei komplexeren Sachverhalten auf die Bezirks-IT-Ermittler und deren
Fachexpertise zurückgegriffen werden. Darüber hinaus sind in den LKA Fachbereiche Zahlreiche administrative und logistische Unterstützungshandlungen, wie die Erteilung
zur Klärung solcher Straftaten etabliert und fungieren auch als Bindeglied zum C4 im von Auskünften und Beratungen, diverse Bildextraktionen oder die Sicherung und Kon-
Bundeskriminalamt. vertierung von Videodateien können so ohne unnötigen Aufschub zur Zufriedenheit von
Ermittlerinnen und Ermittlern erledigt werden. Die frei gewordenen Kapazitäten werden
Die Polizistinnen und Polizisten in Polizeiinspektionen (PI), Stadtpolizeikommanden dadurch auf den Kernbereich der Ermittlungstätigkeiten konzentriert.
(SPK) und Bezirkspolizeikommanden (BPK) erhalten im Rahmen ihrer Grundausbildung
IT-Basisschulungen unter anderem zu den Themen strafrechtliche Tatbestände oder Bereits bei der Konzeption des Modells wurden auch die notwendigen Zeiten für den
Verhalten am Tatort. Auf dieser Ebene agieren speziell ausgebildete Polizeibeamte, die stetigen Kompetenzaufbau und den Wissensaustausch mit anderen Organisationen
als erste Ansprechpartner für Geschädigte zur Verfügung stehen und über Basiswissen vorgesehen. Durch die fortgesetzte Abstimmung mit dem täglichen Bedarf des Auf-
verfügen. Sie informieren und beauftragen in einem zweiten Schritt die Expertinnen und gabenbereiches, ist ebenso der unmittelbare und erhoffte Wissenstransfer feststellbar.
Experten. Darüber hinaus ist Cyber-Kriminalität mittlerweile ein wichtiger Bestandteil Kurz nach Einführung dieses Probetriebs konnten zahlreiche Erfolge verzeichnet werden.
in der Ausbildung dienstführender Beamtinnen und Beamten. Unter anderem konnte bei folgenden Amtshandlungen ein wesentlicher Beitrag zur
Klärung der Straftat geleistet werden:
In den LKA der Bundesländer sind fachlich ausgebildete Exekutivbedienstete tätig. Diese
verfügen über eine spezielle polizeiliche Ausbildung und sind zusätzlich im IT-Bereich • Unterstützung bei einer Amtshandlung wegen mehrerer Vergewaltigungen teil-
geschult. Sie servicieren die jeweiligen Ermittlungsbereiche bei digitalen, forensischen weise unter Verwendung von KO-Mittel
Sicherungen sowie deren Auswertungen und Aufbereitungen. Neben den forensischen • Ausforschung eines Beschuldigten nach einer Bombendrohung innerhalb von zwei
Tätigkeiten umfasst deren Aufgabengebiet auch Ermittlungstätigkeiten im Cybercrime- Stunden
Bereich auf nationaler Ebene. Aufbauend auf die Bezirks-IT-Ermittler-Ebene gewährleistet • Ausforschung eines Beschuldigten nach einem Raub
das LKA ein professionelles Einschreiten bei höherrangigen Strafrechtsdelikten mit • Ausforschung von Verdächtigen nach schweren Betrügereien
entsprechendem IT-Bezug. Besonders bei internationalen Ermittlungen stellt das LKA • Ausforschung mehrerer Money-Mules nach einem Love-Scam
durch seine Schnittstellenfunktion auf Bundesländerebene eine Hilfeleistung für das C4
im Bundeskriminalamt dar.

6 Anzeigenerstattung
Wenn Sie Opfer von Cyber-Kriminalität geworden sind, haben Sie die Möglichkeit diesen
Zusammen-
Sachverhalt in jeder Polizeidienststelle prüfen zu lassen beziehungsweise gegebenen-
falls anzuzeigen.
Achtung: Wenn es um einen konkreten aktuellen Notfall geht (Angriff auf Leib oder
arbeit mit der

Leben), dann rufen Sie den Polizeinotruf 133 an.
Polizei
Richtige Vorgehensweise:
• Sichern Sie bitte relevantes Beweismittel und Datenmaterial, wie beispiels-
weise Emails, Chat-Verläufe, Zahlungsbelege, Screenshots, digitale Fotos
oder Videos oder ähnliches. Wenn bestimmte Inhalte nicht abgespeichert
werden können, erstellen Sie Screenshots oder fotografieren Sie den Bild-
schirm notfalls ab.
• Stellen Sie sicher, dass sich die Unterlagen und Daten, die Sie der Polizei
zur Verfügung stellen, im Originalzustand befinden. Das bedeutet, dass an
ihnen keine Manipulation, keine Ergänzungen oder ähnliches durchgeführt
wurden. Bei E-Mails würde das bedeuten, diese nicht einfach weiterzu-
leiten, sondern die Original-E-Mail abzuspeichern und die gespeicherte
Kopie als Anhang zu übermitteln wäre.
• Häufig haben Sie auch selbst die Möglichkeit, bei den von Ihnen be-
troffenen Accounts, Informationen zu erfragen, die für eine Täteraus-
forschung notwendig sind. Exemplarisch sind dies IP-Adressen über
widerrechtliche Zugriffe inklusive Zeitstempel, Logdaten und so weiter.
Überprüfen Sie dazu am besten selbst, welche der für die Tathandlung
relevanten Daten beim jeweiligen Account-Anbieter beziehungsweise On-
line Service Provider gespeichert werden und für Sie zugänglich sind oder
deren Bekanntgabe über diesen angefordert werden kann.
• Wenn es sich um komplexere Tathandlungen handelt, dokumentieren Sie
den Tathergang in chronologischer Weise und stellen Sie sicher, dass die
Geschehnisse zeitlich richtig eingeordnet sind.
• Wenn Sie Probleme haben die Beweismittel technisch zu sichern be-
ziehungsweise abzuspeichern, bitten Sie eine Person Ihres Vertrauens
diese Beweise mit Ihnen gemeinsam zu sichern.
• Stellen Sie die gesicherten Daten dem aufnehmenden Beamten nach
Absprache mit diesem in geeigneter Form zur Verfügung (beispielsweise
über https://cryptshare.bmi.gv.at). Die Daten zur Verfügung zu stellen ist
wichtig für die weiteren Ermittlungen, um den Verlust von Spuren im Netz
zu vermeiden.

Bitte haben Sie Verständnis dafür, dass Sie bei einem ersten Gespräch mit der Polizei
nicht unmittelbar auf spezialisierte Cybercrime-Expertinnen und -Experten treffen und
deshalb in den meisten Fällen erst in einem zweiten Schritt an eine spezialisierte Fach- 7
Events und
dienststelle weitergeleitet werden oder von dort Rückfragen erhalten. Darüber hinaus
kann Ihnen die Meldestelle für Cybercrime professionelle Auskunft über die weitere
Vorgangsweisen und Schritte bei Cybercrime-Vorfällen erteilen. Für die formelle An-
zeigenerstattung sind in der Regel die Polizeidienststellen zuständig. Derzeit ist eine
internationale
formelle Anzeigeerstattung ist über die Meldestelle nicht vorgesehen.
E-Mail:
Gremien
against-cybercrime@bmi.gv.at

Fachtagung IT-Beweismittelsicherung (ITB)
Die 5. Fachtagung IT-Beweismittelsicherung (ITB) fand am 19. März 2019 in Wien statt 8
Kriminal-
und wurde vom C4 in Kooperation mit dem Bundesministerium für Landesverteidigung
(BMLV) organisiert. Thema waren unter anderem neue Phänomene im Cyber-Bereich. IT-
Ermittlerinnen und -Ermittler sowie Forensik-Expertinnen und –Experten vom Assistenz-
bereich in den LKAs – LKA AB6 ITB, von den Bezirken sowie aus den Fachabteilungen des
prävention
BK, des BVT, von den Landesämtern für Verfassungsschutz und Terrorismusbekämpfung
(LVT), vom Bundesamt zur Korruptionsprävention und Korruptionsbekämpfung (BAK), vom
BMLV, vom Bundesministeriums für Finanzen (BMF) und von der Bundeswettbewerbs-
behörde nahmen an der Tagung teil.
Die Vortragenden kamen vom Institut für Strafrecht und Kriminologie der Universität
Wien, vom „Computer Emergency Response Team Austria“ (CERT.at), vom Schweizer
Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS) sowie vom C4.
Themenschwerpunkte waren das Phänomen Doxing und Internet of Things (IoT).
Symposium „Neue Technologien (NT)“
Am 5. und 6. November 2019 fand in Wien das 9. Internationale Symposium ,,Neue

Technologien“ statt. Diese jährliche Veranstaltung wird gemeinschaftlich vom LKA Bayern,
LKA Baden-Württemberg, dem BK Österreich und dem Eidgenössischem Bundesamt für
Polizei (fedpol) organisiert. Die letztjährige Organisation wurde vom C4 durchgeführt.
Über 200 Teilnehmende aus den Bereichen Polizei, Militär, Behörden, Wirtschaft und
Forschung kamen dazu in den Räumlichkeiten der Landesverteidigungsakademie des
Bundesheers in Wien für eine gemeinsame Technologiefolgenabschätzung zusammen.
Ziel dieser Veranstaltungsreihe ist es, laufend neue Technologieprojekte, die für Polizei-
behörden von Bedeutung sind, im Rahmen hochkarätiger Vorträge vorzustellen und
konkrete Ergebnisse zu präsentieren. Diese länderübergreifende Plattform trägt dazu bei,
die möglichen Vorteile künftig bestmöglich nutzen zu können. Sie soll aber auch helfen,
einhergehende potenzielle Gefahren für die Bevölkerung frühzeitig zu erkennen. Mit den
Veranstaltungen wurde aus Sicht der Sicherheitsbehörden ein wichtiger lmpulsgeber
und eine bedeutende Plattform für die Sicherheitsforschung geschaffen.

Verhinderung von Straftaten
In der Präventionsarbeit wurde im vergangenen Jahr ein Schwerpunkt auf den Bereich 9
Heraus-
der Computer- und Internetkriminalität gelegt. Es wurde über Gefahren, Phänomene
und Problemfelder aufgeklärt. Mit gezielten Kooperationen kann der diesbezügliche
Wissensaustausch intensiviert und gezielt an die Bevölkerung weitergegeben werden.
forderungen
Für das Erkennen von Fake-Shops und andere Betrugsmethoden, wie Gewinnversprechen
per E-Mail, Phishing-E-Mails und dergleichen wird die Bevölkerung über Social-Media-
Kanäle und Beiträge auf der Homepage des BK informiert und gewarnt. Im Detail wurde
in Vorträgen und Beratungen besonders auf die Vorgehensweisen und Methoden des
und Projekte
Internetbetrugs eingegangen und dem stark ansteigenden Phänomen auch präventiv
entgegenwirkt. Dabei wurden auch Unternehmen gezielt auf die Deliktsformen des
CEO Fraud und das zugrundeliegende Social Engineering hingewiesen und Methoden
zu dessen Erkennung und Verhinderung erarbeitet. Für diese spezialisierte Tätigkeit
wurden 2019 in ganz Österreich bereits 150 Präventionsbedienstete ausgebildet, die
über das jeweilige LKA erreicht werden können.
Verstärkt wird dazu die Wirkung der Public-Private-Partnership nicht nur in Form der
Kooperation mit der WKO, sondern auch mit dem österreichischen Institut für an-
gewandte Telekommunikation, eingesetzt. Dem Fachverband Unternehmensberatung
und Informationstechnologie (UBIT) der WKO gehört die Experts Group IT Security an.
Jene führt Unternehmensberater, IT-Dienstleister zusammen, die sich dem Thema der
Informationssicherheit in all ihren Formen verschrieben haben und somit im Vorfeld
bereits gegen Cybercrime wirksam werden können. Mit dem C4 und den Landes-
polizeidirektionen findet eine laufende Kooperation statt, die Maßnahmen, Vorträge
und Veranstaltungen umfasst. So wurde auf dem E-Day, der jährlich das Interessen
von Unternehmen an neue Technologien wecken soll, durch das C4 und das LKA Wien
präventiv über aktuelle Gefahren von Cybercrime informiert und auf die Fragen der
Besucher dazu eingegangen.
Wenn Serviceleistungen nicht mehr von österreichischen Sicherheitsbehörden geleistet

werden können, gilt es den Klein- und Mittelunternehmungen (KMU) nicht nur den wich-
tigen präventiven Schutz zukommen zu lassen, sondern im Ereignisfall auch operative
Hilfe zu leisten. Dies wird von der WKO durch die Cyber-Security Hotline 0800 888 133,
an die sich betroffene Kammermitglieder wenden können, abgedeckt. Für Bürgerinnen
und Bürger steht die Informationsplattform www.watchlist-internet.at zur Verfügung,
auf der Informationen zu aktuellen Gefahren im Internet abgerufen werden können.

Die Analysen des Reports zeigen die schnellen Veränderungen bei Tätern und Techno-
logie, die eine Anpassung für die laufende Fortbildung der Kriminalpolizei und uni-
formierten Polizei notwendig machen. Dieser wird zum Teil durch die Schulungen der 10
English
Bezirks-IT-Ermittler erfüllt. Geplant ist der notwendige Ausbau, der bereits in einem
Projekt zu einem vollständigen Ausbildungskonzept weiterentwickelt wurde. Zusätzlich
dient der Cybercrime Experts Circle (CEC), der vom C4 aufgebaut wurde, als inter-
nationalen Plattform zum Austausch von unmittelbar praktisch anwendbarem Wissen
Summary
mit Expertinnen und Experten aus Partnerländern.
Herausfordernd bleibt es, rasche und effiziente Reaktionen auf internationale Cyber-
Vorfälle in operativen, kriminalpolizeilichen Dienst setzen zu können. Dazu wird ein
Spezialist für Cybercrime zu Europol entsandt werden, der künftig eine schnelle und
technisch kompetente Informationsweitergabe bei operativen Fällen gewährleisten soll.
Eine weitere Maßnahme ist die Einrichtung einer eigenen, zentralen Ansprechstelle als
bundesweiter Kontakt- und Informationspunkt zwischen diesen Betreibern sozialer
Medien sowie online-Diensteanbieter und inländischen Polizeieinheiten. Zusätzlich soll
mit einer technischen Aufrüstung im Form eines forensischen Auswertungscluster die
qualitativ hochwertige Auswertung der vermehrt sichergestellten Daten effizienter und
schneller werden. Weiters werden im Bereich der Forensik Vereinfachungen und effizi-
entere Gestaltungen für die Beweismittelsicherung vor Ort geprüft und deren Einsatz
geplant werden.
Um den gerichtlichen Aufträgen Folge bei der zunehmenden Verschlüsselung noch Folge
leisten zu können, wird mittels nationaler Forschungsinitiativen und Projekte der Ausbau
von Kapazitäten zur Entschlüsselung angestrebt werden.
Grundsätzlich ist ein größeres Problembewusstsein in allen gesellschaftlichen Bereichen

durch den starken Deliktsanstieg im Cybercrime Bereich notwendig geworden. Deshalb
werden Präventivmaßnahmen über bestehenden Kooperationen zur Steigerung der
Widerstandsfähigkeit gegen Cyber-Angriffe weiter ausgebaut werden.
Zur Umsetzung und Finanzierung der Cyber-Sicherheitsstrategie werden für die Pro-
jekte der Bekämpfung von Delikten im Cyberbereich vermehrt spezielle EU-Budgets
herangezogen.

The key developments in cybercrime in 2019 were the significant increase in mass black-
mail messages at the beginning of the year and the year-round high level of Internet
fraud. The former was taken into account by the establishment of a separate working
group on blackmail emails and the latter was handled within the framework of the
11 Glossar
regular organisation. In addition, there is a trend among offenders to use Ransomware
and other “Crime as a Service” deliverables from the darknet.
There is still a lack of a necessary legal framework for the problems of Carrier Grade
NAT, G5, domain names and crypto-currencies, which are currently making criminal police
work more difficult or even impossible.
An update of the cybercrime strategy is planned, covering IT investigations and seizing

of digital evidence. Improvements to processes, including the technology used, are
continually taking place in order to meet the ever-increasing technical challenges.

Anonymisierungsdienst CEPOL
Bei Anonymisierungsdiensten handelt es sich um Services und Techniken im Internet, Die European Union Agency for Law Enforcement Training beziehungsweise Europäi-
die dazu dienen, bestimmte Informationen, die auf die Identität eines Internetnutzers sche Polizeiakademie ist eine durch Beschluss des Rates der europäischen Justiz- und
hindeuten könnten, zu verschleiern. Innenminister im Jahr 2000 gegründete europäische Einrichtung zur Ausbildung der
europäischen Polizei.
Antivirenprogramm
Ein Antivirenprogramm (synonym mit Virenscanner oder Virenschutz) ist eine Software, Chip Off-Verfahren
die bekannte Schadsoftware wie beispielsweise Computerviren (siehe Viren) in einem Dieses Verfahren dient zum Auslöten von elektronischen Bauteilen und das Auslesen
Computersystem aufspüren kann, blockiert und gegebenenfalls beseitigt. Auch wenn von allenfalls enthaltenen Informationen.
damit ein grundlegender Schutz gegeben ist, erfolgt dieser nicht zu hundert Prozent,
da es laufend neue Schadsoftware gibt, die noch nicht erkannt wird.
Cybermobbing
Der Begriff Cybermobbing bezeichnet das absichtliche und über einen längeren Zeit-
Applikation/App raum anhaltende Beleidigen, Bedrohen, Bloßstellen, Belästigen oder Ausgrenzen von
Eine Applikation, kurz App oder Anwendungssoftware, ist ein Computerprogramm. Häufig Personen über digitale Medien, wie beispielsweise über soziale Netzwerke, Messenger
wird der Begriff App im Zusammenhang mit Anwendungen für mobile Endgeräte, wie Apps oder in Videoportalen.
Tablets oder Smartphones verwendet.
Darknet
Business Email Compromise (BEC) Große Teile des Internets sind für übliche Suchmaschinen nicht zugänglich. Diese
Angreifer kompromittieren bei einem BEC den Email Schriftverkehr eines Unternehmens zeigen oft nur Inhalte des offenen Internets, dem Clearweb, an. Dort liegen alle Daten
mit dem Ziel, einen Mitarbeiter der Firma zu einer Geldtransaktion auf das Bankkonto der unverschlüsselt vor und können durchsucht sowie meist über eine Adresse, den so ge-
Täterschaft zu veranlassen. Es handelt sich hier um gezielte Angriffe gegen bestimmte nannten URL, aufgerufen werden. Um in das Darknet beziehungsweise Tor-Netzwerk zu
Unternehmen, da die Täter im Vorfeld teilweise umfangreiche Recherchen anstellen gelangen, benötigt man beispielsweise einen speziellen Browser, wie den Tor-Browser.
und sich häufig mittels Social Engineering zusätzliche Informationen verschaffen. Um Daten werden im Darknet anonym und verschlüsselt über verschiedene Server geschickt.
derartige Fälle zu vermeiden, ist eine Sensibilisierung der Unternehmensmitarbeiter Das Darknet war ursprünglich für Personen und Organisationen gedacht, die von Zensur
durchzuführen und es ist ratsam im Schriftverkehr mit Handelspartnern vorsichtig zu bedroht waren. Heutzutage reicht das Spektrum an illegalen Aktivitäten im Darknet vom
sein. Bei unklaren oder eigenartigen Sachlagen über eine andere Technologie (Telefon) Drogen- und Waffenhandel über Dokumentenfälschung, Geldfälschung, Datenhandel bis
sind die Sachverhalte zu überprüfen. hin zu pornografischen Darstellungen Minderjähriger und weit darüber hinaus.
Bitcoin DDoS-Angriffe
Bitcoin (englisch für „digitale Münze“) ist ein weltweit verwendbares, dezentrales Register DDoS-Angriffe („Distributed Denial of Service“-Angriffe) sind Attacken auf die Verfüg-
und der Name eines immateriellen Vermögenswertes. Überweisungen werden von einem barkeit der Ressourcen und Dienste eines IT-Systems oder von Netzwerken meistens
Zusammenschluss von Rechnern über das Internet mittels Blockchain (durchgehende mit dem Ziel, diese zu blockieren und somit regulären Benutzern keinen Zugriff mehr zu
Kette von Transaktionsblöcken) abgewickelt, sodass anders als im herkömmlichen Bank- ermöglichen. Die Angriffe erfolgen häufig von vielen verschiedenen Ressourcen aus dem
verkehr keine zentrale Abwicklungsstelle benötigt wird. Eigentumsnachweise können in Internet. Neben politisch oder persönlich motivierten Angriffen versuchen Täter auch
einer persönlichen digitalen Brieftasche, einem sogenannten Wallet, gespeichert werden. häufig Geld mit DDoS-Angriffen zu erpressen.

Domain Name System (DNS) Notsituation vorgetäuscht wird. Tatsächlich existiert die dargestellte, geliebte Person
Das DNS ist einer der wichtigsten Dienste im Internet. Seine Hauptaufgabe ist die Auf- aber nicht, sondern dient der Betrügerin oder dem Betrüger nur als Tarnung. Die Täter
lösung des Domainnamens, wie zum Beispiel www.bmi.gv.at, in eine IP Adresse (siehe schrecken dabei auch nicht davor zurück die Identität und den Internetauftritt von realen
IP Adresse), um eine Kommunikation zwischen den Computersystemen zu ermöglichen. Personen dafür zu missbrauchen.
European Cybercrime Center (EC3) Money Mules

Das EC3 ist ein Teil von Europol und wurde eingerichtet, um in folgenden drei Bereichen Wie die deutsche Übersetzung der Bezeichung Money Mule, nämlich Geldesel, vermuten
signifikante Unterstützung für die Mitgliedsstaaten zu schaffen: lässt, wird von einer Person illegal erworbenes Geld im Rahmen von Kurierdiensten trans-
feriert, um die Strafverfolgung zu erschweren. Meist erhält die Person ein Entgelt für
• Bekämpfung von Cybercrime, begangen durch organisierte Gruppierungen, die den Geldtransfer, ist sich aber dabei nicht bewusst, dass sie sich aktiv an Geldwäsche
beispielsweise durch Online-Betrug große Geldmengen erbeuten. beteiligt. Die Anwerbung erfolgt oft über Email.
• Bekämpfung von Formen von Cybercrime, die die Opfer massiv schädigen, wie bei-
spielsweise sexueller Missbrauch von Kindern.
• Bekämpfung von Cybercrime (inklusive Cyberattacken), die gegen kritische Infra- NAT
struktur und Informationssysteme der EU Mitgliedsstaaten gerichtet ist. Bei Carrier Grade NAT teilt der Provider eine IPv4-Adresse aus dem privaten Adress-
bereich „10.0.0.0/8“ den Endkundenanschlüssen zu – keine „öffentliche IP-Adresse“
(§ 92 Abs 3 Z 16 TKG). Auf diese Weise „spart“ er mittlerweile sehr rare öffentliche
Firewall IPv4-Adressen. Zwischen dem privaten Provider-Netz und dem öffentlichen IPv4-Netz
Eine Firewall ist ein System aus hardware- und/oder softwaretechnischen Komponenten, vermittelt dann die sogenannte Network Address Translation (NAT) oder Port Address
um Netzwerke sicher miteinander zu verbinden. Die Firewall analysiert den Netzwerk- Translation (PAT). Der dafür zuständige vermittelnde Server kümmert sich um die Adress-
verkehr und hat beispielsweise die Aufgabe, unerwünschte Zugriffe von außen wie dem übersetzung zwischen den privaten und öffentlichen IPv4-Adressen und reicht die Pakete
Internet zu blockieren. zwischen den Netzwerken weiter.
NAT wurde ursprünglich für lokale Netzwerke, wie dem WLAN-Router zu Hause, ent-
IP-Adresse wickelt, die nur eine öffentliche IPv4-Adresse zugeteilt bekommen haben. Diese wird
Eine IP-Adresse dient zur eindeutigen Adressierung von Computern und anderen Geräten aber von mehreren Clients als Zugang zum öffentlichen Netz genutzt. NAT findet hier
in einem Netzwerk, das auf dem Internetprotokoll (IP) basiert. Sie wird jedem Gerät in kleinem Rahmen mit wenigen Clients statt. Bei Carrier Grade NAT sind davon meist
in einem Netzwerk zugewiesen und macht somit jedes Gerät adressierbar und damit mehrere tausend Clients betroffen und gleichzeitig wird doppelt geNATet, weil der Kunde
erreichbar. Die IP Adresse entspricht funktional der Rufnummer in einem Telefonnetz. immer noch nur eine IPv4-Adresse für mehrere Clients bekommt.
Technisch wird zwischen IP Version 4 (IPv4) und IP Version 6 (IPv6) unterschieden. Bei jedem NAT- oder PAT-Vorgang wird nicht nur die private IP-Adresse in eine öffentliche
Letzteres wurde unter anderem eingeführt, da die Anzahl der möglichen öffentlichen übersetzt, sondern auch die zu der Netzwerkadressierung (IP-Adresse und Port, Schreib-
Adressen bei IPv4 stark beschränkt sind und mittlerweile als aufgebraucht gelten. weise zum Beispiel 194.203.112.23:80) gehörenden Ports ändern sich. -Das heißt, dass
bei jedem NAT Vorgang von dem NAT-Verbindungsserver einer bestimmten IP-Adresse
aus dem internen Netz eine bestimmte Portnummer der öffentlichen IP im externen
Love Scam Netz (dem Internet) eindeutig zugewiesen wird, damit der Kommunikationsvorgang
Bei Love- oder Romance-Scam handelt es sich um eine Art von Partnervermittlungsbetrug. nachvollziehbar bleibt (sonst wüsste der Verbindungsserver nicht, wer welche Kommu-
Der Täter stellt meist den ersten Kontakt per Email oder soziale Medienplattformen her nikation durchführt). Das Identifikationsmerkmal des Nutzeranschlusses ist daher nicht
und versucht eine Vertrauensbasis durch zum Beispiel die Zusagen von persönlichen mehr nur die IP-Adresse, sondern auch der sogenannte Source-Port oder sozusagen als
Treffen zu schaffen. In Folge der elektronischen Kommunikation versucht der Täter das „Rückrechnung“ für die Provider die Ziel-IP und der Ziel-Port.
Opfer zum Übersenden von Geld und Wertgegenständen zu überreden indem eine

OSINT Spam auch Schadsoftware im Anhang, Links zu infizierten Webseiten oder wird für
Open Source Intelligence (OSINT) befasst sich mit der Gewinnung von Informationen, Phishing Angriffe genutzt.
die über offene Quellen frei verfügbar im Internet zu finden sind. Diese Daten werden
für weitere Ermittlungen und Analysen herangezogen, um gezielte Erkenntnisse daraus
herzuleiten. Trojanisches Pferd (Trojaner)
Als Trojanisches Pferd bezeichnet man ein Computerprogramm oder Applikation, das
als nützliche oder harmlose Anwendung getarnt ist, im Hintergrund aber ohne Wissen
Phishing des Anwenders eine andere, meist schädliche Funktion erfüllt.
Mit Phishing wird versucht, beispielsweise über gefälschte Webseiten, Emails oder andere
Messenger-Nachrichten an persönliche Daten zu gelangen. Phishing steht häufig in Zu-
sammenhang mit zumindest versuchten Betrugshandlungen und Identitätsmissbrauch. URL
Ein URL (Uniform Resource Locator) identifiziert und lokalisiert Ressourcen im Internet,
wie beispielsweise Webseiten. Das URL-Format macht eine eindeutige Bezeichnung von
Ransomware Dokumenten im Internet möglich und beschreibt die Internetadresse von Objekten, die
Als Ransomware wird Schadsoftware bezeichnet, die den Zugriff auf Daten und elek- von einem Browser gelesen werden können (zum Beispiel http://www.bmi.gv.at).
tronische Systeme einschränkt oder verhindert. Diese Ressourcen werden erst wieder
nach Bezahlung eines Lösegeldes („ransom“) freigegeben.
Virus
Bei (Computer-)Viren handelt es sich um die älteste Art von Schadsoftware, die sich selbst
Schadsoftware verbreiten und unterschiedliches Schadpotenzial in sich tragen. Sie treten in Kombination
Bei Schadsoftware (synonym mit den Begriffen Schadprogramme, Schadcode oder mit einem Wirt auf, das heißt mit einem infizierten Dokument oder einer Applikation.
Malware) handelt es sich um Programme oder Skripte, die mit dem Ziel entwickelt
wurden, eine unerwünschte und meistens schädliche Funktion auf Computersystemen
auszuführen. Verschlüsselung
Verschlüsselung transformiert Daten in Abhängigkeit von einer Zusatzinformation, dem
„Schlüssel“, in einen zugehörigen Geheimtext, der für diejenigen, die den Schlüssel nicht
Social Engineering kennen, nicht entzifferbar sein soll. Die Umkehrtransformation, das heißt die Zurück-
Bei Social Engineering werden vermeintliche menschliche Schwächen, wie Neugier oder gewinnung des Klartextes aus dem Geheimtext wird Entschlüsselung genannt.
Angst ausgenutzt, um Zugriff auf sensible Daten oder Informationen zu erhalten. Bei
Cyber-Angriffen verleiten Täter ihre Opfer dazu, eigenständig wichtige Daten preiszu-
geben, Schutzmaßnahmen zu umgehen oder selbstständig Schadsoftware auf ihren Wallet
Systemen zu installieren. Während vor vielen Jahren noch der Müll nach Dokumenten Ein Wallet, der englische Begriff für „Geldbeutel“ oder „Portemonnaie“, ist eine virtuelle
und Datenträgern durchsucht wurde, geschieht das Ausforschen von Informationen Geldtasche, in der der Benutzer Bitcoins oder auch andere Kryptowährungen aufbewahrt.
heutzutage oft durch das Ausspähen von Daten auf Social Media Plattformen und An- Insofern kann ein Wallet mehrere unterschiedliche Kryptowährungen beinhalten. Darüber
rufen mit falschen Identitäten. hinaus gibt es unterschiedliche Arten von Wallets.
Spam WHOIS
Als Spam bezeichnet man elektronische, unerwünschte Nachrichten, die massenhaft WHOIS ist ein Service im Internet, das vor allem zur Abfrage von Daten zu Domainnamen
und gezielt über verschiedene Kommunikationsdienste verbreitet werden. Teilweise genutzt wird. Vor der DSGVO war es uneingeschränkt möglich den Eigentümer und den
beinhaltet Spam in harmlosen Varianten unerwünschte Werbung. Häufig jedoch enthält Ansprechpartner der Domain (siehe Domain Name System) sowie IP-Adressen über diesen
Dienst abzufragen, da alle Daten öffentlich zugänglich gewesen sind.

56 Cybercrime Report 2019

Sprache

Cybercrime 2019

Hochgeladen von

Dokumentinformationen

Beschreibung:

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Beschreibung:

Copyright:

Verfügbare Formate

Cybercrime 2019

Hochgeladen von

Beschreibung:

Copyright:

Verfügbare Formate

Cybercrime

Über die Broschüre 7

Entwicklungen und Trends 8

Anpassung des Cyberstrafrechts 10

Datenschutz-Grundverordnung und „WHOIS“ Abfragen 10

Carrier Grade NAT Problematik 10

Pseudoanonyme Transaktionen von virtuellen Währungen 11

Zahlen und Fakten im Überblick 14

Cybercrime im engeren Sinn  15

Cybercrime im weiteren Sinn 16

Dunkelziffer und Anzeigeverhalten 17

Bitcoin-Mixer und deren erfolgreiche Bekämpfung 20

Voice over IP-Spoofing 22

Impressum Pornographische Darstellungen Minderjähriger 24

Medieninhaber, Verleger und Herausgeber: 5 Bekämpfung 26

Kriminalpolizeilich werden auch weiter jene operativen Maßnahmen überlegt und

Karl Nehammer MSc

4 Cybercrime Report 2019 Cybercrime Report 2019 5

6 Cybercrime Report 2019 Cybercrime Report 2019 7

8 Cybercrime Report 2019 Cybercrime Report 2019 9

10 Cybercrime Report 2019 Cybercrime Report 2019 11

12 Cybercrime Report 2019 Cybercrime Report 2019 13

2013 10.053 4.545 45,25%

15.000 13.103 § 148a StGB 1.415 5.537 356 1.262

10.053 10.010 10.192 § 225a StGB 170 210 141 136

14 Cybercrime Report 2019 Cybercrime Report 2019 15

§ 148 StGB 663 777 353 434

§ 208a StGB 108 101 67 69

§ 3g VerbotsG 176 95 160 76

16 Cybercrime Report 2019 Cybercrime Report 2019 17

Die Leistungen an sogenannten „Crime as a Service“-Diensten, die im Internet angeboten

18 Cybercrime Report 2019 Cybercrime Report 2019 19

20 Cybercrime Report 2019 Cybercrime Report 2019 21

22 Cybercrime Report 2019 Cybercrime Report 2019 23

Aber nicht nur Konsumentinnen und Konsumenten, sondern auch Suchtmittelhändlerinnen

Pornographische Darstellungen Minderjähriger

Die Zahl der Anzeigen wegen pornographischer Darstellungen Minderjähriger (Para-

24 Cybercrime Report 2019 Cybercrime Report 2019 25

26 Cybercrime Report 2019 Cybercrime Report 2019 27

1.200 1.129 1.167 1.160 1.109 1.136

28 Cybercrime Report 2019 Cybercrime Report 2019 29

30 Cybercrime Report 2019 Cybercrime Report 2019 31

32 Cybercrime Report 2019 Cybercrime Report 2019 33

34 Cybercrime Report 2019 Cybercrime Report 2019 35

arbeit mit der

36 Cybercrime Report 2019 Cybercrime Report 2019 37

38 Cybercrime Report 2019 Cybercrime Report 2019 39

Symposium „Neue Technologien (NT)“

Am 5. und 6. November 2019 fand in Wien das 9. Internationale Symposium ,,Neue

40 Cybercrime Report 2019 Cybercrime Report 2019 41

Wenn Serviceleistungen nicht mehr von österreichischen Sicherheitsbehörden geleistet

42 Cybercrime Report 2019 Cybercrime Report 2019 43

Grundsätzlich ist ein größeres Problembewusstsein in allen gesellschaftlichen Bereichen

44 Cybercrime Report 2019 Cybercrime Report 2019 45

An update of the cybercrime strategy is planned, covering IT investigations and seizing

46 Cybercrime Report 2019 Cybercrime Report 2019 47

48 Cybercrime Report 2019 Cybercrime Report 2019 49

European Cybercrime Center (EC3) Money Mules

50 Cybercrime Report 2019 Cybercrime Report 2019 51

52 Cybercrime Report 2019 Cybercrime Report 2019 53

Über die Broschüre 7

Entwicklungen und Trends 8

Anpassung des Cyberstrafrechts 10

Datenschutz-Grundverordnung und „WHOIS“ Abfragen 10

Carrier Grade NAT Problematik 10

Pseudoanonyme Transaktionen von virtuellen Währungen 11

Zahlen und Fakten im Überblick 14

Cybercrime im engeren Sinn 15

Cybercrime im weiteren Sinn 16

Dunkelziffer und Anzeigeverhalten 17

Bitcoin-Mixer und deren erfolgreiche Bekämpfung 20

Voice over IP-Spoofing 22

Impressum Pornographische Darstellungen Minderjähriger 24

Medieninhaber, Verleger und Herausgeber: 5 Bekämpfung 26